安全漏洞评估服务

什么是信息安全评估？

    关于这个问题，由于每个人的理解不同，可能有不同的答案。但比较流行的一种看法是：信息安全评估是信息安全生命周期中的一个重要环节，是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议书。

    信息安全评估的作用

    信息安全评估具有如下作用：

    (1)明确企业信息系统的安全现状。进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。

    (2)确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。

    (3)指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。

    主要的信息安全评估标准

    信息安全评估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列）由美国国防部于1985年公布的，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
    信息技术安全评估标准（99vSEC，欧洲百皮书）是由法、英、荷、德欧洲四国90年代初联合发布的，它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息；完整性就是保证没有经过授权的用户不能改变或者删除信息，从而信息在传送的过程中不会被偶然或故意破坏，保持信息的完整、统一；可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。99vSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。

    国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等，这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO 15408标准。